| 0
- 26.05.2016 - 08:40
|
У знакомых на работе словили вирусяру, судя по всему шифровальщик. Но я с таким впервые столкнулся. Он прибил все .... ert - ешки больше ничего не тронул, но вместо всех внешних обработок "email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-TGTVVIZDCSMDSICSTIBQGVPETJCRHWPEUJDS-30.03.2016 16@54@314970843.randomname-LTLILABVI...ARPGSJ.APB.cbf" причем еще прикол - было несколько самописных и часть из них была названа на русском языке - они остались нетронутыми, а те которые латиницей - так же прибиты... Никто не сталкивался ? Что за 1С-ненавистник появился ? Причем ненавистник 7-ки....     | | ||
| 1
- 26.05.2016 - 09:29
| Именно с таким не сталкивался, сталкивался с plague17. Этот, помимо ерт, зашифровал и дбф. | | ||
| 2
- 26.05.2016 - 10:09
|
(0) поиском поисковать не пробывал ? http://virusinfo.info/showthread.php?t=189999& https://forum.kaspersky.com/lofivers...p/t338806.html | | ||
| 3
- 26.05.2016 - 11:22
|
"Все фигня, если не война. И война фигня". Несколько правил гигиены: 1. Всегда (слово обозначает именно "всегда", а не что-то вроде "когда время будет") работайте под ограниченными (не "админскими") правами. 2. Не отключайте UAC (простое и удобное средство встроенной защиты). 3. Не открывайте кликом вложенные файлы в почтовике! Особенно зипованные. Офисные могут содержать макросы. Считываем в отдельную папку, смотрим содержимое зип-файла архиватором. Офисные - с запретом на макросы. Иначе макрос должен быть предварительно объявлен, а автор документа известен. | | ||
| 4
- 26.05.2016 - 11:38
| Уточнение к (3) п.2: "(...) Особенно исполняемые, в т.ч., зипованные" | | ||
| 5
- 26.05.2016 - 11:40
| Тьху, п.3 :) | | ||
| 6
- 26.05.2016 - 12:07
| Цитата:
просто прикольно - кто то конкретно на 1С 7,7 ополчился.... | | ||
| 7
- 26.05.2016 - 12:37
| (6) думаю, что чисто бизнес... если не осталось копий внешних отчётов, то люди заплатят дешифровальщику деньги | | ||
| 8
- 26.05.2016 - 12:43
| Цитата:
Начинал с угроз "сбивать палками", мантрами про устаревшую систему, обещал снять с поддержки и отменить таблицу умножения. Угрозы не возымели эффекта. Теперь перешел к акциям прямого действия - бабла-то не хватает. Дидосит потихоньку неугодные ресурсы руками своего подельника по овносайту. Вирусы эти продаются, есть рынок. Запросто мог купить и доржику своему скормить ... | | ||
| 9
- 26.05.2016 - 12:44
| 7-Гена >Согласен. Ибо внешние отчеты нередко не включают в бекапы, ограничиваются стандартной схемой. | | ||
| 10
- 26.05.2016 - 12:58
|
а мне понравилось - На вопрос, почему у нас понос? Как лечить? некто VZ отвечает - носите с собой горшок | | ||
| 11
- 26.05.2016 - 14:07
|
10-Helen1986 > Ну полечи RSA... Чего лечить? Голову, которая открывает исполняемый файл от неведомого адреса? Так это раньше надо, когда пациент еще в пеленках все в рот тащил. Макросы? Да им уже лет 20, как минимум, с Word-6 первые попёрлись. Эти "шифровальщики" вовсе не какие-то там хитромудрые черви, продирающиеся через серьёзную настройку безопасности, и подделующие сертификаты, это то, что называется "социальная инженерия". А проще - ловля лоха на живца. Замучаешься его спасать. Просвещение и профилактика - вот рецепт. А необучаем... Что ж, такие всегда найдутся. Пусть ездят на такси, нанимают секретаршу, и самостоятельно гвоздь в стенку не забивают. | | ||
| 12
- 26.05.2016 - 17:14
| Наверное база была открыта поэтому открытые файлы dbf cdx не зашифровались | | ||
| 13
- 26.05.2016 - 19:47
|
12-i_mak > Даже в "чистой" базе полно файлов, которые не держаться открытыми постоянно. От readme. до Extforms, набитом всяким барахлом. И можно сразу понять, на что нацелен "шифровальщик". На БД-ы 77? легко: ищем каталоги с .md. Только вот таких каталогов должно быть несколько. Даже если забыть про копии и апдейты. Бо даже в единственной и неповторимой БД мд-ника - две штуки. Так что определить "цель" зловреда - как два байта прочитать. Хотя описание ситуевины - невнятно совсем, да. | | ||
| 14
- 26.05.2016 - 21:37
| Цитата:
главное - остерегаться!  | | ||
| 15
- 26.05.2016 - 22:15
| почему-то те, кто ездит на такси, нанимают секретаршу и самостоятельно гвоздь в стенку не забивают - чувствуют себя намного лучше... | | ||
| 16
- 26.05.2016 - 22:22
| 15-Buhta >У каждого свой уровень проблем. И те, кто имеет (в хорошем смысле) секретаршу, имеют и проблемы соответствующие. Кому-то файлы восстанавливать, а кому-то от ОБЭП бегать. | | ||
| 17
- 26.05.2016 - 22:44
| Цитата:
| | ||
| 18
- 27.05.2016 - 06:54
| Цитата:
Цитата:
| | ||
| 19
- 27.05.2016 - 09:44
| имхо - проба пера .... | | ||
| 20
- 27.05.2016 - 20:31
|
(0) нет. и не стремлюсь. получается система не тронута (работоспособна). мягкий такой ненавязчивый отъём денег. заплати мол лучше сейчас, или хуже будет. | | ||
| 21
- 27.05.2016 - 20:31
| ибо что не зашифровано - не значит не заражено. | | ||
| 22
- 27.05.2016 - 21:00
|
21-Зелёный тролль > "Почтовый шифратор" только шифрует. Фотки, видео, потом все, до чего дотянется. Если клиент работает пол локальным админом, то - до многого чего. Схема: Зараженный файл загружает шифратор (с сервера, или облака), формирует рандом ключ, и начинает шифровать все, до чегодотягивется. Одновременно формируется сообщение для клиента (кудп платить). Шифратор самоуничтожается при остановке. Схема постоянно совершенствуются. Цены держаться умеренными. Мыло долго не живет, так что сроки - это от момента запуска в сеть,а не от момента срабатывания. Правоохренители не помогут, увы. Так шта... Спасение утопающих - забота самих утопающих. | | ||
| 23
- 27.05.2016 - 23:10
| Цитата:
| | ||
| 24
- 28.05.2016 - 02:22
|
23-Странный аттрактор > Сам не платил, личного опыта нет. Меры предпринял сразу же после появления первой версии (не RSA). Полагаю, что услуги частной расшифровки вообще мало кому доступны. | | ||
| 25
- 28.05.2016 - 12:54
|
А мне вот интересно: почему шифровальщики не научились ещё шифровать данные в лок. сети? Подумаешь, комп ГБ издох, тоже мне, потеря.. А так, открыла она письмо: "Арбитраж завершился не в вашу пользу, выписка с заседания суда в приложении", и вся локалка легла. Ну или, по крайней мере, расшаренные на RW папки с БД. Вот это был бы успех. И ещё: почему Касперские/Даниловы/етс не реагируют никак? Что, трудно задетектить процесс шифрования и спросить, в курсе ли происходящего юзер? | | ||
| 26
- 28.05.2016 - 14:31
| Цитата:
одни мои клиенты истчо в 2014 году такого шифровальщика ловили. он им по сети все расширения док, хлс, жипег, зип, рар зашифровал. В общем, почти все, что было во всех расшаренных каталогах. | | ||
| 27
- 28.05.2016 - 14:46
| Цитата:
Тогда другой вопрос: шифровальщики работают по маске? Может, будет уместным на всякий случай архивы переименовывать в архивТакойТо.123? | | ||
| 28
- 28.05.2016 - 14:56
|
25-Странный аттрактор > Во-первых, локальные сети (ко времени появления "шифровальщиков") уже были защищены хотя бы стремлением не разводить бардак. И были закалены предыдущими поколениями вирусов. И сеть более устойчива: она распределенная устройствами. И корпоративный клиент, в общем-то, просто опаснее когда обидится. Во-вторых, касперскиеданиловы реагировать умеют только на что-то типовое. Первую версию "шифровальщиков" ("Ваш компьютер заблокирован. Для разблокировки получите код блаблабла") они реагировали: помещали на своих сайтах списки этих самых кодов. Но следующая версия (с RSA) стала им не по зубам. Даже обладая методами взлома - нужны очень значительные ресурсы. Одно дело: вскрыть переписку какого-нить посольства, совсем другое - массовая услуга взлома для восстановления частных коллекций "Как я провел с Машей это лето". Тот, кто может заплатить, тот может и обратится с частным заказом к криптоаналитику (достаточно редкая профессия). А "задетектить"? Это как? Контролировать все компьютеры? Все-все почтовые сервера обязать просматривать почту? Нарушать приватность? Так это возможно только при свирепой диктатуре. Которая подстригает мозги под один фасон. И, как следствие, эта страна просто гибнет: съедят. Ничего страшного. Это все-го лишь очередной урок взросления. Кто его усвоит - тот будет готов к следующим атакам на приватность. А нет так нет. | | ||
| 29
- 28.05.2016 - 22:21
| Цитата:
| | ||
| 30
- 28.05.2016 - 22:24
| Цитата:
| | ||
| 31
- 29.05.2016 - 00:15
|
29-Странный аттрактор > "Стоит антивирус, детектит процессы. Началось шифрование - ахтунг! Подозрительная активность" - с чего это вдруг "подозрительная"? Процесс инициализирован пользователем. Царем природы. Повелителем Вселенной. Процесс обыденный: Царь природы решил зашифровать свои данные. Соответствующие разрешения в браузере прописаны... "Первый антивирус, детектирующий шифровальщика, ждёт оглушительный успех" - или коммерческий провал. Ибо "шифровальщик" - это не чудо-технология, а цыганская хитрость. "Социальная инженерия". Такая же, как и "нигерийские письма". Как только задействуют тяжелую артиллерию, шифровальщик злодеи просто бросят. И как оправдать расходы на разработку? | | ||
| 32
- 29.05.2016 - 11:28
| Цитата:
Цитата:
| | ||
| 33
- 29.05.2016 - 11:35
|
(32) "Поставить галочку: "детектирование шифрования", и всё" - угу это только так кажется. С точки зрения компьютера шифрование ничем не отличается от редактирования файла программой специально запущенной пользователем, той же 1С: открытие файла - чтение - запись. Другое дело, что писатели антивирусов могли бы ввести фишку ограничения доступа к файлам только "доверенным" (разрешенным) приложениям: для DOC - Word, для XLS - Excel, для 1CD - 1C и так далее. Почему они этого не делают, лично мне не понятно. Впрочем, у Касперского вроде можно настроить доступ к определенным типам файлов только приложениям из папки Program Files, в кторую запись шифраторов можно легко пресечь. | | ||
| 34
- 29.05.2016 - 11:36
| 1С много чего вытворяет и не утратила доверия. И господа антивирусники не утратят | | ||
| 35
- 29.05.2016 - 12:54
| Цитата:
| | ||
| 36
- 29.05.2016 - 13:00
| Цитата:
| | ||
| 37
- 29.05.2016 - 14:08
|
33-Ткачик > Угу. Только вот Ворды всякие умеют запускать макросы на VBScript (и все хорошее через CreatObject()), А 1С умеет присоединять ВК через замечательную vkloader.dll. В режиме ограниченного пользователя. Ну, и СоздатьОбЪект() на двух языках никто не запретил. Да-с. Функционал с такими дырками будет просто обманывать юзеров ложными надеждами. | | ||
| 38
- 29.05.2016 - 15:03
| Мы хотим совместить несовместимое или как говорят "м рыбку сьесть и ...". Хотим работать в открытой вему и всем операционной системе Windows (которая по своей сути является большой и малоконтролируемой помойкой файлов) и безопасность. Да еще чтобы дядюшки Нортон или Касперский нам эту безопасность обеспечили. Хочется безопасности - есть другие машины, другие операционки, другие прикладные решения. Ну а иначе, уж кто как умеет. А Касперский по моему многое спрашивает, разрешить ли, но многое и пропускает | | ||
| 39
- 29.05.2016 - 16:41
| 38-USSR > "которая по своей сути является большой и малоконтролируемой помойкой файлов" - ты просто не в курсе. А по серверным - особенно. | |
Интернет-форум Краснодарского края и Краснодара |
